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lent system has a TV decoder (100) with an access card (116) providing 
n. Senrices are received, and access rights interpreted. If the access rights list 
[)S access control, decoding is allowed. There Is a supplementary unit in the decoder which stops 
s to the services where the card does not contain the management key. 
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(54) Precede de gestion de droits d'acces a des services de television 



(57) La pr^sente invention a pour objet un precede 
de gestion de droits d'acces k des services de t6l6vision 
pourempecherl'utilisation d'une carte frauduieuse. Elle 
a pour but essentiel de mettre un temie h rutilisation de 
fausses cartes de dScodeur (100) qui pennettent d'ac- 
c6der de fagon non autorisee a un ensemble de services 
de television. Le precede selon I'invention exploite no- 
tamment le fait que les fausses cartes ne comportent 



pas decles de gestion (200). Dans le precede selon I'in- 
vention, en precede a une duplication du centrdle des 
droits d'acces, une partie des operations realisees etant 
desennais etfectuees au sein meme du decedeur (1 00), 
et non plus uniquement dans la carte (1 1 6). A cet effet, 
en pr§voit notamment d'exploiter, au meyen d'applica- 
tiens sp6cifiques du d§codeur (100) de tdl§vision, le 
contenu des informations vehiculees dans des messa- 
ges detype EMM ou ECM. 
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Description 

[0001] La presente invention a pour objet un procede 
de gestion de droits d'acces a des services de televi- 
sion. Eiie apporte une securlte supplementaire relative 
au controle des droits d'acces que possede effective- 
ment un utilisateurde decodeur, permettant ainsi de lut- 
ter efficacement contre des techniques de piratage qui 
contournent frauduleusement les precedes de gestion 
de droits d'acces qui existent actuellement. 
[0002] Le domaine de I'invention est, d'une fagon ge- 
nerale, celui de la television numerique. Dans ce domai- 
ne, on associe le plus souvent au televiseur un deco- 
deur de television numerique. Ce dernier offre la possi- 
bilite a un abonne de recevoir une multitude de program- 
mes, ou services, de television. L'abonne a prealable- 
ment achet§ ou loue le decodeur a un operateur de te- 
levision, ou a un intermediaire, et asouscrit un abonne- 
ment qui lui permet de recevoir en clair, c'est a dire de 
fagon non cryptee, un ensemble de services de televi- 
sion. Get ensemble de services depend de la nature de 
I'abonnement que I'utilisateur a choisi, et ii n'inciut pas 
necessairement tous les services de television disponi- 
bles cliez I'operateur choisi. 

[0003] En d'autrestennes, lorsqu'un utilisateurchoisit 
un abonnement, il achete un ensemble de droits d'acces 
qui lui autorise la reception en clair de certains services 
de television. II est done necessaire de mettre en place 
des precedes de gestion de ces droits d'acces, afin de 
s'assurer d'une part qu'un abonne peut effectivement 
acceder aux services correspondant k son abonne- 
ment, et d'autre part, qu'il ne peut pas acc6der aux ser- 
vices qui ne sont pas comprls dans son abonnement. 
[0004] Les figures 1 et 2 illustrent de fagon schema- 
tique le fonctionnement d'un d§codeur de t6i§vision, et 
plus partlcull§rement le syst§me de gestion des droits 
d'acc&s utiiis§ dans r§tat de la technique. 
[0005] La figure 1 montre un dScodeur 1 00 qui com- 
porte un module de r^eption et de dSmuitipiexage 1 01 
de signaux tSidvisueis. Le module de reception 1 01 re- 
goit via une antenne 1 02 un flux d'informations de ser- 
vices de television. Le module de reception 1 01 pourrait 
§tre ggalement connects k un r§seau de t§i§vision c3- 
bi6e ou k un systSme de reception par satellite. Un mi- 
croprocesseur 110 est reiiS au moyen d'un premier bus 
de communication bidirectionnel 111 a une memoire de 
programmes 112, ^ une memoire de donnees 113, au 
module de rSception 1 01 et ^ un module de decryptage 
106. Le microprocesseur 110 indique au module de re- 
ception 1 01 notamment quel service de t§i§vision ii doit 
extraire du flux d'infomnations qu'il regoit par I'antenne 
102. 

[0006] Un capteur 115, dans cet exemple inf rarouge, 
regoit des signaux emis par une telecommande 105. 
Une cellule infrarouge du capteur 115 delivre un signal 
qui est transmis au microprocesseur 110. Les signaux 
numeriques issus du module de reception et de demul- 
tiplexage 101 sont envoyes, via une premiere liaison 



unidirectionnelle 1 08 vers le module de decryptage 1 06, 
qui les transmet ensuite vers un decompresseur audio/ 
video 107 via une deuxieme liaison unidirectionnelle 
109. 

5 [0007] La memoire de donnees 113 est notamment 
destinee a memoriser differentes infonnations, valeurs 
ou parametres necessaires au fonctionnement du de- 
codeur. La memoire de programmes 1 1 2 est notamment 
destinee a la gestion des differentes operations qui peu- 

10 vent intervenir pour mettre en oeuvre differentes fonc- 
tlonnalltes du decodeur. Elle comporte plusieurs appli- 
cations, et pourra notamment en contenir certaines qui 
seront specifiques k la mise en oeuvre du procede selon 
I'invention. Ces applications seront dStaillees par la 

15 suite . 

[0008] Dans d'autres modes de realisation du d6co- 
deur 100, ces applications pourraient etre remplac6es 
par des circuits electroniques specifiques. 
[0009] Le bus de communication bidirectionnel 111 
vehicule des signaux de commando, d'adresse ou de 
donnees. II s'agit d'une representation fonctionnelle ; 
toutes les autres liaisons representees sont, dans la 
pratique, des bus de donnees qui assurent des echan- 
ges de donnees entre deux §16ments du decodeur de- 
crlt. Certaines de ces liaisons pourraient etre lntegr§es 
dans le bus de communication bidirectionnel 111 . 
[0010] Dans le decodeur 1 00, on a prevu une ouver- 
ture pour introduire une carte 1 1 6, par exemple une car- 
te de type carte a puce. Une telle carte comporte no- 
tamment un microprocesseur, une memoire de donn§es 
et une memoire de programmes non representes. Le 
decodeur est equipe d'une interface pour pouvoir 
gchanger des infonnations avec la carte 116 via un 
deuxieme bus de communication bidirectionnel 117. La 
carte 1 1 6 est un element essentiei dans le fonctionne- 
ment de la gestion des droits d'acc&s aux services de 
tdi§vision dans i'§tat de la technique. Un tei fonctionne- 
ment est d§taiii§ k I'aide de la figure 2. 
[0011] Surcette figure, on a represente les differentes 
operations intervenant lors d'un controle de droit d'ac- 
ces k un service de television partlculier. Lorsque 
i'abonn§ possesseur du decodeur de television 100 a 
selectionne un service partlculier k recevoir, le module 
de reception 101 du decodeursecalesur une frequence 
correspondant a un flux de signaux dans lequel se trou- 
vent les infonnations relatives au service selectionnd. 
Dans ce flux de signaux, on trouve notamment des com- 
posantes vid6o de ce service, des composantes audio 
du mime service, ainsi que des composantes de fonc- 
tionnement qui comprennent par exemple des messa- 
ges dits messages d'administration de droits, ou EiVIM 
(pour Entitlement IVIanagement Message en anglais), et 
aussi des messages dits messages de controle de 
droits, ou ECM (pour Entitlement Control Message en 
anglais). 

[0012] D'une fagon generate, les EMM sont des mes- 
sages destines au fonctionnement du decodeur, par 
exemple dans le cadre de fonctionnalites interactives. 
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Certains de ces EMM sont des messages specifiques 
qui sont destines a la gestion des droits d'acces aux ser- 
vices de television. Ces nnessages sont appeles des 
messages de gestion de droit d'acces. Dans la suite de 
la description, par soucis de simplification, lorsque le 
terme EMM sera employe, 11 designeratoujours un mes- 
sage de gestion de droits d'acces, a moins que le con- 
traire ne soit explicitement mentionne. D'une fagon ge- 
nerale, les EMM peuvent notamment vehiculersoit des 
infomnations cryptees relatives aux droits, soit des infor- 
mations non cryptees relatives aux droits, ces informa- 
tions etant alors accompagnees d'une redondance 
cryptologique. Les ECM, pour leur part, serontdesignes 
comme des messages de controle d'acces au service 
particulier. Un ECM est toujours associe a un service 
qui lui est propre. 

[0013] Dans I'etat de la techinique, une application 
1 40 de la m§molre de programmes 112, dite application 
de transmission des EMM, transmet directement les 
EMM a la carte 1 1 6, sans avoir interprete ou exploits les 
droits contenus dans ces EMM. A cet effet, une adresse 
spgcifique de la carte 116 a ete reperee dans I'EMM 
pour ne transmettre a la carte que les EMM qui lui sont 
effectivement destines. Cette adresse estfournie par la 
carte 1 1 6 lors de la mise sous tension du decodeur 1 00 
et lors de chaque nouvelle introduction de la carte 116 
dans le decodeur. Par ailleurs, une application 141 de 
la memoire de programmes 112, dite application de 
transmission des ECM, transmet directement les ECM 
a la carte 11 6, en g§n6ral sans avoir exploits ou Inter- 
prete le contenu de ces ECM. 
[0014] Cfiaque carte 116 comporte au moins une cle 
de gestion 200, mais le plus souvent plusieurs cl§s re- 
perees par un Index. Une cle de gestion 200 est perma- 
nente ou semi-permanente. Certains op6rateurs pre- 
voient la possibilite de faire dvoluer cette c\6 dans des 
circonstances bien particull§res, par exemple dans les 
cas oCi elle auralt ete compromise. L'acc&s d cette cle 
est en prIncipe difficile pour les f raudeurs. La cle de ges- 
tion est commune k un groupe restreint d'abonnSs, ty- 
piquement 256. 

[0015] Lorsqu'un EMM esttransmis k la carte 116, un 
premier algorithme de dScryptage 201 permet, au 
moyen de la cle de gestion 200, d'acqudrir des droits. 
Les droits ainsi obtenus constituent une premi&re liste 
de droits acquis 202. Le contenu de ces droits definit 
I'ensemble des services auxquels I'abonne peut avoir 
acces. Par ailleurs, lorsqu'un certain type d'EMM est 
transmis k la carte, I'algoritlime de decryptage 201 , tou- 
jours au moyen de la cle de gestion 200, peut extraire 
de I'EMM regu une cle d'exploitation 203. De telles cles 
sont transmises periodiquement par les operateurs, la 
periodicite etant le plus souvent mensuelle ou semes- 
trielle. 

[0016] La cle d'exploitation 203 est utilise par un 
deuxieme algorithme de decryptage 204 pour exploiter 
et interpreter les ECM transmis a la carte 116. Les ECM 
sont transmis par les operateurs, via le flux de signaux 



regu au niveau de I'antenne 102, et sont specifiques a 
chaque service de television. La periodicite de leurs 
changements est d'envlron 10 secondes. Lorsqu'un 
ECM est regu par la carte 116, I'algorithme de decryp- 
5 tage 204 permet d'obtenir une premiere liste de droits 
requis 205. Cette liste represente I'ensemble des droits 
que I'abonne doit posseder, et qui doivent done etre ins- 
crits dans la premiere liste de droits acquis 202, pour 
pouvoir acceder au service particulier de fagon non 
10 cryptee. Cette liste est effacee a la reception de chaque 
nouvel ECM pour pouvoir constituer une nouvelle pre- 
miere liste de droits requis 205. Par ailleurs, I'algorithme 
de decryptage 204 permet de decrypter I'ECM pour ob- 
tenir un mot de controle 207. 
IS [0017] A chaque nouvel ECM regu par la carte 116, 
une operation de comparaison 206 est effectuee entre 
la premiere liste de droits requis 205 et la premiere liste 
de droits acquis 202. Si la comparaison est satisfaisan- 
te, c'est a dire s'il s'avere que I'ensemble des droits re- 
20 quls de la premiere liste de droits requis 205 sont effec- 
tivement contenus dans la premiere liste de droits ac- 
quis 202, I'abonne a effectivement droit a I'acces au ser- 
vice particulier considere. Dans ce cas, une information 
binaire appropriee est transmise a un circuit logique 208 
25 qui autorise la transmission du mot d'acces au module 
de decryptage 106. Une application 142 de la memoire 
de programmes 112, dite application de transfert du mot 
de contrdle, est utilisee pour effectuer cette transmis- 
sion. Dans le cas contraire, si la comparaison n'est pas 
30 satisfalsante, Tinformation binaire transmise au circuit 
logique 208 bloque la transmission du mot de controle 
destin§ au module de decryptage 106. 
[0018] La cl§de gestion 200, la cle d'exploitation 203, 
la premiere liste de droits acquis 202, la preml&re liste 
35 de droits requis 205, et le mot de contrdle peuvent §tre 
memorises au moins temporairement dans la mSmoire 
de donnees, precedemment mentionnSe, de la carte 
116. Les algorithmes de dicryptage 201 et 204, la fonc- 
tion de comparaison 206 et le circuit logique 208 peu- 
40 vent con'espondre k diffSrentes applications de la me- 
moire de programmes, prteSdemment mentionnSe, de 
la carte 116, 

[0019] Une premi&re methode qui peut gtre utilisee 
pour contourner le procede de controle d'acc&s qui vient 
45 d'§tre dScrit est le suivant : les fraudeurs profession- 
nels, qui ont eu acces par un moyen quelconque k une 
cl6 de gestion, parviennent k d^hiffrer les diffdrentes 
c\6s d'exploitation qui sont transmises. lis fournissent 
alors a des utilisateurs fraudeurs de fausses cartes qui 
50 comportenttous les droits acquis, c'est a dire que la pre- 
miere liste de droits acquis a ete prealablement pro- 
grammee pour etre la plus complete possible. Les frau- 
deurs professionnels dlffusent alors regulierement, par 
exemple via le reseau Internet, les dlfferentes cles d'ex- 
55 ploitation que les utilisateurs fraudeurs se chargent de 
programmer dans leur fausse carte, lis ont alors accfes 
iliegalement a I'ensemble des services diffuses par un 
operateur. 
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[0020] Dans ce systeme de fraude, les fausses carte 
n'ont pas besoin de posseder la cle de gestion car les 
fraudeurs utillsateurs possedent d'ores et deja I'ensem- 
ble des droits acquis et obtiennent les cles d'exploitation 
par une vole detournee frauduleuse. Par ailleurs, la dif- 
fusion de cartes comportant une cle de gestion, et qui 
permettrait done une reception par vole normale des 
cles d'exploitation, n'est pas satisfaisante pour les 
fraudeurs : en effet, d'une part I'acces a ces cles de ges- 
tion est une operation couteuse qui necessite la mise 
en oeuvre de moyens importants et une cle de gestion 
n'etant specifique qu'a un nombre restreint d'utillsa- 
teurs, 11 suffirait, pour un operateur ayant detecte une 
utilisation frauduleuse d'une cle de gestion, de revoquer 
la cle en question pour annuler les importants efforts ef- 
fectues parlefraudeurprofessionnel. D'autrepart, la dif- 
fusion de telles carte pourrait faciliter les enquStes vi- 
sant a confondre les fraudeurs professionnels. 
[0021] Une secondemethodede fraude, ou lescartes 
officielles sont integralement compromises, soit par mi- 
se a jour de secrets basiques communs a toutes les car- 
tes de I'operateur, soit par exploitation d'erreurs d'imple- 
mentation du logiciel de ces cartes, a egalement ete ob- 
servee. Dans cette seconde methode de fraude, les 
fraudeurs professionnels peuvent avoir facilement ac- 
ces a un grand nombre de clefs de gestion et peuvent 
done diffuser des cartes pirates integrant une ou plu- 
sieurs clefs de gestion, ou meme encore les fraudeurs 
pourront, h I'aide d'un PC parexemple, charger eux-m§- 
mes IndQment, dans leuts cartes officielles, tous les 
droits qu'iis soufiaitent avoir. 

[0022] Le procedg seion I'invention permet de iutter 
entre autres contre ces m^thodes de fraude. li pemiet 
essentiellenfient d'apporter une parade aux operations 
frauduleuses 6voqu6es en proposant un proc6d§ am§- 
iiore de gestion des droits d'acc&s k des services de te- 
levision. Dans le procdd§ seion i'invention, on precede 
a une duplication du contrdie des droits d'acc^s, une 
partie des operations rSaiisees etant dfeonnais effec- 
tu§es au sein m§me du decodeur, et non plus unique- 
ment dans ia carte comme c'§tait ie cas dans i'etat de 
ia tecfinique. A cet effet, on pr6voit notamment d'expioi- 
ter, au moyen d'appiications specifiques du d§codeur 
de t§i§vision, ie contenu d'informations v6hicul6es dans 
les messages de type EMM ou ECM. 
[0023] L'invention concerne done un proc6d6 de ges- 
tion de droits d'acces a des services de television au 
sein d'un decodeur de t§i6vision pour emp3clier i'utili- 
sation de cartes frauduleuses, ie d^odeur pouvant re- 
cevoir une carte de gestion de droits, comportant ies dif- 
f§rentes etapes consistant k : 

recevoir differents services de television dans le de- 
codeur sous fonne d'un flux de signaux multiplexes 
transmis par un operateur de television, ledit flux 
pouvant notamment comporter des composantes 
audio d'un service particulier, des composantes vi- 
deo du service particulier et des composantes de 



fonctionnement parmi lesquelles on trouve notam- 
ment des messages de gestion de droits d'acces et 
des messages de controle d'acces au service par- 
ticulier; 

5 - interpreter, au sein de la carte de gestion des droits, 
les messages de gestion de droits d'acces pour pro- 
duire une premiere liste de droits et la memoriser 
dans une memoire de la carte; 
interpreter, au sein de la carte de gestion des droits, 

10 les messages de controle d'acces au service parti- 
culier pour produire une premiere liste de droits re- 
quis et la memoriser dans la memoire de la carte; 
si la premiere liste de droits requis est comprise 
dans la premiere liste de droits acquis, produire, a 

15 partir des messages de gestion de droits d'acces et 
des messages de controle d'acces, des mots de 
controle pemnettant de decrypter les composantes 
audio et video du service particulier; 

20 caracterise en ce que le precede de gestion de 

droits d'acces comporte I'etape supplementaire consis- 
tant a exploiter les messages de gestion de droits d'ac- 
ces au sein meme du decodeur pour eventuellement in- 
terdire I'acces au service particulier ou a tous les servi- 

25 ces. 

[0024] Dans un mode de mise en oeuvre pr6f§r6 de 
I'invention, I'etape d'exploitation des messages de ges- 
tion de droits d'acces pour eventuellement interdire i'ac- 
ces au service particulier ou a tous les services compor- 

30 te une operation de duplication, dans un module de me- 
moire du dScodeur, d'au moins certains droits acquis de 
ia premi&re liste de droits acquis pour constituer une 
deuxi^me liste de droits acquis. 
[0025] Dans un premier mode de mise en oeuvre du 

35 proc6d§ seion i'invention, on prevoit i'6tape consistant 
dtransmettre, depuis i'operateurde television, des mes- 
sages tests de gestion de droit d'acces comportant des 
nouveaux droits, par exempie des droits virtueis, et on 
prevoit que i'etape d'exploitation des messages de ges- 

40 tion de droits d'acces pour gventueiiement interdire I'ac- 
ces au service particulier ou k tous ies services peut 
comporter ies diffdrentes operations consistant a : 

ajouter les nouveaux droits, ou des commandes as- 
45 sociees a ces nouveaux droits, k ia deuxi&me iiste 
de droits acquis; 
- comparer ia premiere liste de droits acquis et ia 
deuxieme iiste de droits acquis; 
si ia deuxieme iiste de droits acquis comporte des 
50 nouveaux droits qui ne sont pas contenus dans la 
premiere liste de droits acquis, ou si les comman- 
des associees a ces droits acquis sont en contra- 
diction avec ia premiere iiste de droits acquis, me- 
moriser une situation de dysfonctionnement. 

55 

[0026] Par nouveaux droits, on designe en fait une 
evolution des droits par rapport a une situation 
precedente ; un nouveau droit peut done etre un droit 
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negatif, c'est a dire un droit faisant disparaTtre un droit 
qui etait auparavant contenu dans la premiere liste de 
droits acquis. Suivant une caracteristique du systeme 
de controle d'acces deja evoque, les nouveaux droits 
sont soit transmis de fagon non cryptee au decodeur, 
certains d'entre eux avec une redondancecryptologique 
erronee et un premier champ specifique non crypte, 
destine uniquement au decodeur, pour indiquer la non 
vaiidite de la redondance cryptologique, soit les nou- 
veaux droits sont transmis de fagon cryptee au deco- 
deur, mais avec un deuxieme champ specifique non 
crypte, destine uniquement au decodeur, pour indiquer 
la commande assoclee au nouveau droit emis. 
[0027] Lorsqu'un certain nombre, preaiablement de- 
termine, de situations de dysfonctionnement se sont 
produites, le precede selon I'invention prevoit de blo- 
quer le fonctionnement du decodeur. 
[0028] Dans un deuxieme mode de mise en oeuvre 
du precede selon I'invention, I'operation de duplication 
dans le module de memoire du decodeur pour consti- 
tuer la deuxieme liste de droits acquis est effectuee pour 
latotalite des droits transmis dans les messages de ges- 
tion de droits d'accfes. Dans ce cas, I'etape d'exploitation 
des messages de gestlon de droits d'acces pour 6ven- 
tuellement interdire racc§s au service particulier ou a 
tous les services peut comporter les differentes opera- 
tions consistant a : 

comparer, au sein du d§codeur, les droits requis 
pour i'acces au service particulier contenus dans 
les messages de contrSle d'acces au service parti- 
culier avec la deuxi&me liste de droits acquis; 
- si I'ensemble des droits requis pour acc6der au ser- 
vice particulier n'est pas contenu dans la deuxi&me 
liste de droits acquis, ne pas transmettre de mots 
de contrSle k un module de dScryptage du deco- 
deur. 

[0029] Dans le deuxieme mode de mise en oeuvre, 
on peut pr§voir de mSmoriser, par exemple dans une 
partie non volatile du module de memoire du d&:odeur, 
une adresse de la carte ; cette etape de memorisation 
peut §tre effectude de fagon irr§versible soit lors de la 
fabrication du d§codeur, soit suite k la reception d'un 
message de gestlon de droits d'acc&s (EMM) particulier 
qui comporte une reference specifique du decodeur 
(100), par exemple son num§ro desSrie. Ce dernier cas 
§tant mis en oeuvre lorsque les d6codeurs sont deja de- 
ployes chez les abonnes. 

[0030] Le precede selon I'invention peut etre comple- 
te par des mesures destinees a proteger I'integrite des 
contenus d'une memoire de programmes et d'un modu- 
le de donnees du decodeur vis a vis de modifications 
non autorisees par I'operateur. 
[0031] L'invention et ses differentes applications se- 
ront mieux comprises a la lecture de la description qui 
suit et a I'examen des figures qui I'accompagnent. Cel- 
les-ci ne sont presentees qu'atitre indicatif et nullement 



limitatif de I'invention. Les figures montrent : 

a la figure 1 , deja decrite, une representation sche- 
matique d'un decodeur mettant en oeuvre la gestlon 
5 des droits d'acces a des services de television dans 
I'etat de la technique 

a la figure 2, egalement deja decrite, une represen- 
tation schematique du fonctionnement de ia carte 
de controle d'acces inseree dans un decodeur ; 
10 - a la figure 3, une representation schematique d'un 
decodeur mettant en oeuvre la gestion des droits 
d'acces a des services de television selon le prece- 
de de I'invention; 

a la figure 4, un erganigramme illustrant lefonction- 
'5 nement du decodeur lors de la mise en oeuvre 
d'une premiere variante du precede selon 
I'invention ; 

- a la figure 5, un organigramme illustrant le fonction- 
nement du decodeur lors de la mise en oeuvre 
20 d'une deuxi&me variante du procddS selon I'inven- 
tion. 

[0032] Chaque element du decodeur ou de la carte 
qui apparaTtrait sur plusieurs figures sera toujours desi- 
25 gn§ par la m§me reference. 

[0033] La figure 3 illustre un decodeur de teldvision 
pennettant la mise en oeuvre du procdd§ selon I'inven- 
tion. L'invention reside notamment dans rutilisation qui 
estfaite de nouvelles applications de la memoire de pro- 
30 grammes 112. Ces applications peuvent par exemple 
§tre telechargees par des moyens connus dans les dS- 
codeurs de\k mils en circulation, ou bien §tre program- 
mees d§s la fabrication du decodeur. Chacune d'entre 
elles pourrait 6galement §tre remplacee par un circuit 
35 glectronique specifique realisant ia m§me fonction. 
[0034] Par soucis de simplification, la figure 3 montre 
notamment la memoire de programmes 112 contenant 
I'ensemble des applications pouvant §tre mises en 
oeuvre selon I'un ou I'autre des principaux modes de 
40 mise en oeuvre de I'invention. Comme on le ven'a, cer- 
taines d'entre elles nesont destinies qu'd un seul mode 
de mise en oeuvre, et poun-aient done §tre supprim6es 
dans le cas oCi I'autre mode de mise en oeuvre serait 
choisi pour le proc6de selon I'invention. 
45 [0035] Dans le premier mode de mise en oeuvre, 6&- 
taille dans I'organigramme de la figure 4, on utilise des 
EI\^M particuliers, qui sont des EMM de test. Cette va- 
riante permet de ddtecter qu'un utilisateur utilise une 
fausse carte ne contenant pas de cles de gestion. Une 
50 premiere etape 401 conslste dans I'envoi de tels EMM 
par les operateurs. Des leur reception au sein du deco- 
deur 100, une etape 402 de reconnaissance de ces 
EMM particuliers est mise en oeuvre dans une etape 
403 au moyen d'une application, dite application de re- 
55 connaissance d'EMM 411 , qui permet de detecter que 
ces EMM sent destines a verifier I'integrite de la carte. 
Lorsque le decodeur regoit un tel EMM, une application 
412, dite application de memorisation de droits, est 
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automatiquement mise en oeuvre. Cette application 
permet de memoriser, dans une zone reservee 421 de 
ia memoire de donnees 113, une infonnation transmlse 
en ciair et relative au droit associe a I'EMM. La zone 
reservee 421 est de preference une partie non volatile 
de la memoire 113. L'infonnation transmlse et memorl- 
see peut etre le droit en lui-meme ou une instruction, ou 
commande, relative a ce droit, I'lnstruction pouvant con- 
sister en une indication sur I'activation ou la desactiva- 
tion du droit en question, ou sur le fait que I'EMM com- 
porte une redondance cryptologique erronee. 
[0036] D'une fagon generale, on peut considerer deux 
cas de figure : d'une part, si les EMM portent les droits 
acquis en clair, avec une redondance cryptologique, 
cette redondance pouvant etre volontairement erronee 
pour certains EMM de test. Ainsi, seules les cartes le- 
gales, qui comportent les cles de gestion, pourront les 
distinguer et pourront done ne pas les prendre en comp- 
te. Un champ en clair est ajoute dans les EMM de test ; 
11 est destine au decodeur pour indiquer le caractere er- 
rone ou vallde de la redondance cryptologique. Ce 
champ n'est pas transmis & la carte. D'autre part, si les 
EMM portent les droits sous forme chiffree, les fausses 
cartes sont incapables de les Interpreter, car elles n'ont 
pas de cles de gestion. La aussi, un champ en clair est 
ajoute dans les EMM de test pour donner au seul d§co- 
deur l'infonnation sur le droit transport^ dans I'EMM. Ce 
champ en clair n'est pas transmis k la carte. 
[0037] L'EMM est ensuite transmis dans une §tape 
404, sans I'lnformatlon transmlse en clair, au dScodeur 
et memorisge dans la zone rdserv§e 421 , vers la carte 
116 au moyen de rappllcation de transmission d'EMM 
1 40. Si la carte 1 1 6 est une carte qui comporte la c\§ de 
gestion 200, elle pourra faire evoluer la premiere liste 
de droits acquis 202 confonnement a I'lnstruction de 
I'EMM transmlse. Par contre, si la carte 116 est une 
fausse carte, qui ne comporte pas la cl6 de gestion 200, 
elle est Incapable de faire evoluer la premi&re liste de 
droits acquis 202 conformement k I'lnstruction de I'EMM 
transmise. 

[0038] La premiere liste de droits acquis 202 est alors 
lue, dans une 6tape 405, au moyen d'une application 
413 dite de lecture de droits, puis confrontee, dans une 
etape de comparalson 406, au contenu de ia zone re- 
serv§e 421 de la m§moire de donnSes 113 contenant 
i'lnformatlon relative au droit associe a I'EMM qui vient 
d'etre transmis. Si la premiere liste de droits acquis 202 
n'est pas en accord avec le contenu de cette memoire, 
c'est a dire si les droits acquis n'ont pas sulvl I'evolution 
que tendait a faire apparaTtre I'EMM de test, alors un 
dysfonctionnement est detecte. 
[0039] Dans le cas de la detection d'un tel dysfonc- 
tionnement, un compteur 422, memorise dans la me- 
moire de donnees 113, de preference non volatile, est 
incremente dans une etape 407. Sa valeur est alors 
comparee, dans une etape 408, a une valeur seuil 423 
prealablement determinee et memorisee dans la me- 
moire de donnees 113. Si Iavaleurseuil423estatteinte 



le decodeur de television est definitivement bloque. On 
interdit ainsi I'acces a tous les services de television, 
L'abonne suppose n'a pas d'autre solution que de con- 
tacterl'operateurde television ou un intennediaire legal. 

5 Sinon, les operations se poursuivent confonnement aux 
operations qui se deroulent dans I'etat de la technique, 
tout comme elles se poursuivent lorsque comparalson 
effectuee a I'etape 406 s'est averee satisfaisante. 
[0040] Les etapes 403 de memorisation de droits, et 

10 406 de comparalson, notamment, sont des etapes qui 
exploitent les messages de gestion de droits d'acces au 
sein meme du decodeur, ceci pour eventuellement in- 
terdire I'acces au service particulier ou a tous les servi- 
ces. 

15 [0041] Pour parer a I'affectation possible par les frau- 
deurs d'une adresse carte situee en dehors du domaine 
exploite par I'operateur, et qui ne recevraient done pas 
d'EMM du tout, et en particulier pas d'EMM de test, le 
precede prevoira un blocage du decodeur au cas oCi 
20 aucun EMM ne serait re?u sur une periode de dur6e 
donnee, par exemple un mois. 
[0042] Dans ce mode de mise en oeuvre, les EMM de 
tests qui sont utilises transportent de preference des In- 
formations relatives k des droits virtuels, c'est k dire k 
25 des droits qui ne sont jamais exploites par I'operateur 
de television. Ainsi, Texpioitation, I'analyse de ces EMM 
qui vient d'§tre dScrite ne risque pas de perturber le bon 
fonctionnement d'un dScodeur utilisant des cartes lega- 
tes. 

30 [0043] Dans le deuxi&me mode de mise en oeuvre, 
dStailie dans I'organigramme de la figure 5, une premie- 
re §tape 501 consiste dans I'envoi des EMM habituels, 
nonnaux, par les opdrateurs. D&s leur reception au sein 
du decodeur 100, une §tape de duplication 502 des 
SB droits contenus dans les EMM est mise en oeuvre au 
moyen d'une application 51 4, dite application de dupli- 
cation. Une deuxi&me liste de droits acquis est ainsi 
constituee et m§moris6e dans la zone 421 non volatile 
de la memoire de donnSes 113. Comme dans i'etat de 
40 la technique pr6c§demment dScrit, I'EMM est alors 
transmis, dans une etape 503, vers la carte 116 au 
moyen de I'application de transmission d'EMM 140. 
L'EMM y suivra les traitements habituels. 
[0044] Dans ce mode de mise en oeuvre, lors de la 
4s reception de chaque ECM lors d'une §tape 504, on pro- 
cede, dans une etape 505, a une duplication des droits 
requis contenus dans chaque ECM. On constitue ainsi 
une deuxieme liste de droits requis 424 qui est egale- 
ment memorisee dans la memoire de donnees 113. On 
50 confronte alors la deuxieme liste de droits acquis 421 et 
la deuxieme liste de droits requis 424 dans une etape 
506 de comparalson. Si la deuxieme liste de droits re- 
quis 424 n'est pas entierement comprise dans la deuxie- 
me liste de droits acquis 421 , alors un signal approprie 
55 est transmis a I'application 1 42 de transfert de mots de 
controle, pour que le mot de controle 207 ne soit pas 
transmis au module de decryptage 1 06. On interdit ainsi 
I'acces au service particulier associeal'ECM regu. Dans 
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le cas contraire, un signal approprie est transmis a I'ap- 
plication 1 42 de transfert de mots de controle pour que 
le mot de controle 207 puisse etre transmis au module 
de dechiffrement 106. L'ECM sera, dans tous les cas, 
ensuite transmis a la carte 116. 
[0045] La presence d'une carte frauduleuse pourra 
etre detectee lorsque la deuxieme liste des droits requis 
424 n'est pas entierement comprise dans la deuxieme 
liste des droits acquis 421 et que la carte renvoie un mot 
de controle plutot qu'un message de refus d'acces. En 
effet, en cas de presence d'une carte non frauduleuse, 
cette derniere n'envoie pas de mot de controle lorsque 
les droits acquis ne pennettent pas I'acces au service, 
mais envoie un message de refus d'acces. Cependant, 
dans le deuxieme mode de mise en oeuvre, II n'est pas 
indispensable de detecter la presence d'une carte 
frauduleuse : en effet, lefonctionnementde la carte 116, 
qu'elle soit authentique ou frauduleuse, n'intervient pas 
dans la decision d'interdire I'acces a un service particu- 
lier. 

[0046] Dans le deuxieme mode de mise en oeuvre, 11 
peut sembler opportun de realiser une association irre- 
versible (pairing) de la carte legale 1 1 6 avec le decodeur 
1 00. En effet, lefiltrage des EMM destines a la carte est, 
dans I'etat de I'art, realise par le decodeur a partir d'une 
adresse fournie par la carte, par exemple lors d'une mi- 
se sous tension du decodeur ou de chaque introduction 
de la carte. Une fausse carte pourrait alors Indiquer une 
adresse correspondant h I'adresse d'une carte legale 
possSdant tous les droits, et le decodeur memorlseralt 
ainsi une deuxieme liste de droits acquis comportant ef- 
fectlvementtous les droits. Le pairing permet de r6pon- 
dre k cette eventualite. 

[0047] Le pairing sera de prdfSrence rSalise en fabri- 
cation, il pourra cependant §tre §galement rSalisS apr&s 
deploiement des dScodeurs chez les abonn^s lors du 
telechargement d'une nouvelle version d'applications 
comportant, pour la premi&re fois, le second mode de 
mise en oeuvre de I'lnvention. Cependant afin d'Sviter 
que cette memorisation d'adresse ne s'effectue sur une 
carte frauduleuse, il conviendra de I'effectuera la recep- 
tion d'un EMM particulier qui portera entre autre une in- 
fomnation specifique du decodeur lui meme, comme son 
numero de serle par exemple, ce qui viendra authentif ier 
ainsi I'adresse utilisee pour le filtrage des EMM. Ici en- 
core pour parer a I'affectation possible par les fraudeurs 
d'une adresse carte situde en dehors du domaine ex- 
plorte par i'op§rateur, et qui ne recevraient done pas 
d'EMM du tout, et en particulier pas d'EMM de pairing, 
le precede prevoira un blocage du decodeur au cas oil 
I'EMM de pairing ne serait pas regu sur une periode de 
duree donnee, par exemple un mois, suivant ce tele- 
chargement. 

[0048] Dans les deux modes de mise en oeuvre, la 
presence de la carte 1 1 6 est toujours Indispensable car 
elle seule peut produlre les mots de controle 207. Les 
deux modes de mise en oeuvre proposenttous les deux 
une duplication de la gestion des droits d'acces, qui peut 



permettre la detection de I'usage de cartes frauduleu- 
ses. 

[0049] L'exploitation de I'un ou I'autre de ces deux 
modes de mise en oeuvre de i'lnvention sera avanta- 

5 geusement accompagnee par la mise en place de me- 
sures destinees a prevenir la modification du contenu 
des memoires 112 et 113 du mlcroprocesseur 110, par 
les fraudeurs : ces mesures peuvent notamment com- 
prendre I'utilisation d'un logiciel de telechargement se- 

10 curise, de detecteurs d'ouverture du decodeur (Tamper 
evidence), d'un acces difficile ou impossible a certains 
signaux du mlcroprocesseur 110 (notamment les si- 
gnaux JTAG), ou encore d'un dispositif actif de contrdle 
d'integrit6 m6moire. 

15 

Revendications 

1 . Precede de gestion de droits d'acces a des services 
20 de television au sein d'un decodeur (1 00) de televi- 
sion pour empecher rutilisation de cartes frauduleu- 
ses, le decodeur (100) pouvant recevoir une carte 
(116) de gestion de droits, comportant les differen- 
tes etapes consistant a : 

25 

recevoir differents services de television dans 
le decodeur (100) sous forme d'un flux de si- 
gnaux multiplexes transmis par un op^rateur 
de television, ledit flux pouvant notamment 
30 comporter des composantes audio d'un service 

particulier, des composantes vid§o du service 
particulier et des composantes de fonctionne- 
ment pamni lesquelles on trouve notamment 
des messages de gestion de droits d'accds 
35 (EMM) et des messages de contr6le d'accds au 

service particulier (ECM); 
interpreter, au sein de la carte (1 1 6) de gestion 
des droits, les messages de gestion de droits 
d'acces (EMM) pour produire une premiere lis- 
40 te de droits (202) et la memoriser dans une me- 

moire de la carte (116); 
interpreter, au sein de la carte (1 1 6) de gestion 
des droits, les messages de contrdle d'acces 
(ECM) au service particulier pour produire une 
4s premiere liste de droits requis (205) et la me- 

moriser dans la memoire de la carte (116); 
- si la premiere liste de droits requis (205) est 
comprise dans la premiere liste de droits acquis 
(202), produire, a partir des messages de ges- 
50 tion de droits d'acces (EMM) et des messages 

de contrdle d'acces (ECM), des mots de con- 
trole (207) permettant de decrypter les compo- 
santes audio et video du service particulier; 

55 caracterise en ce que le precede de gestion 

de droits d'acces comporte I'etape supplementaire 
consistant a exploiter les messages de gestion de 
droits d'acces (EMM) au sein meme du decodeur 
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pour eventuellement interdire I'acc^s au service 
particulier ou a tous les services. 

2. Procede selon la revendication precedente carac- 
terlse en ce que I'etape d'exploitation des messa- 
ges de gestion de droits d'acces (EMIVI) pour inter- 
dire eventuellement I'acces au service particulier ou 
a tous les services comporte une operation de du- 
plication, dans un module de memoire (113) du de- 
codeur (100), d'au moins certains droits acquis de 
la premiere liste de droits acquis (202) pourconsti- 
tuer une deuxieme liste de droits acquis (421). 

3. Procede selon la revendication precedente carac- 
terise en ce qu'il comporte I'etape suppiementaire 
consistant a : 

transmettre, depuis I'operateur de television, 
des messages tests de gestion de droit d'acc§s 
(EMM) comportant de nouveaux droits; 

et en ce que I'etape d'exploitation des mes- 
sages de gestion de droits d'acces (EMM) pour in- 
terdire eventuellement I'accfes au service particulier 
ou a tous les services comporte les differentes ope- 
rations consistant k : 

- ajouter les nouveaux droits, ou des comman- 
des assoclSes k ces nouveaux droits, k la 
deuxi&me liste de droits acquis (421); 

■ comparer la premiere liste de droits acquis 
(202) et la deuxieme liste de droits acquis 
(421); 

- si la deuxi&me liste de droits acquis (421 ) com- 
porte des nouveaux droits qui ne sont pas con- 
tenus dans la premi&re liste de droits acquis 
(202), ou si les commandes associees a ces 
droits acquis sont en contradiction avec la pre- 
miere liste de droits acquis (202), memoriser 
une situation de dysfonctionnement. 

4. ProcSde selon la revendication pr^Sdente earae- 
terlse en ce que les nouveaux droits sont des droits 
virtuels. 

5. Proc6de selon I'une des revendications 3 ou 4 ea- 
racterise en ce que les nouveaux droits sont trans- 
mis de fapon non cryptSe au d§codeur (100), cer- 
tains d'entre eux avec une redondance cryptologi- 
que erronee et un premier champ specifique non 
crypte, destine unlquement au decodeur, pour indi- 
quer la non validite de la redondance cryptologique. 

6. Procede selon I'une des revendications 3 ou 4 ca- 
racterise en ce que les nouveaux droits sont trans- 
mis defagon cryptee au decodeur (1 00), mais avec 
un deuxieme ciiamp specifique non crypte, destine 
unlquement au decodeur (100), pour indiquer la 



commande associee au nouveau droit emis. 

7. Procede selon I'une des revendications 3 & 6 ca- 
racterise en ce qu'il comporte I'etape supplemen- 
5 taire consistant a, lorsqu'un certain nombre (423), 
prealablement determine, de situations de dysfonc- 
tionnement se sont produites, bloquer le fonction- 
nement du decodeur (100). 

10 8. Procede selon la revendication 2 caracterise en ce 
que I'operation de duplication dans le module de 
memoire (113) du decodeur (100) pour constltuer 
la deuxieme liste de droits acquis (421) est effec- 
tuee pour la totalite des droits transmis dans les 

15 messages de gestion de droits d'acces (EMM). 

9. Procede selon la revendication precedente carac- 
terise en ce que I'etape d'exploitation des messa- 
ges de gestion de droits d'acces pour eventuelle- 
20 ment interdire I'acces au service particulier ou a 
tous les services comporte les differentes opera- 
tions consistant a : 

comparer, au sein du decodeur (1 00), les droits 
25 requis pour I'acces au service particulier con- 

tenus dans les messages de contrdle d'acc&s 
(ECM) au service particulier avec la deuxieme 
liste de droits acquis (421); 
si I'ensemble des droits requis pour acc§der au 
30 service particulier n'est pas contenu dans la 

deuxieme liste de droits acquis (421 ), ne pas 
transmettre de mots de controle (207) a un mo- 
dule de d^cryptage (106) du decodeur (100). 

35 10. Procede selon I'une des revendications 8 ou 9 ca- 
racterise en ce qu'il comporte I'etape suppiemen- 
taire consistant a memoriser, dans une partie non 
volatile du module de memoire (113) du decodeur 
(100), une adresse (425) de la carte (116). 

40 

11. Procede selon la revendication precedente carac- 
terise en ce que I'etape de memorisation de 
I'adresse (425) de la carte (116) est effectuee de 
fagon irreversible lors de la fabrication du decodeur 

45 (100). 

12. Procede selon la revendication 10 caracterise en 
ce que I'etape de memorisation de I'adresse (425) 
de la carte (1 1 6) est effectuee de fa^on irreversible 

so suite a la reception d'un message de gestion de 
droits d'acces (EMM) particulier qui comporte une 
reference specifique du decodeur (1 00), par exem- 
ple son numero de serie. 

55 13. Procede selon I'une des revendications preceden- 
tes caracterise en ce qu'il est complete par des 
mesures destinees a proteger I'integrite des conte- 
nus d'une memoire de programmes (112) et d'un 
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module de donnees (113) du decodeur (100) vis a 
vis de modifications non autorisSes par I'operateur. 
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